IN1200_Dator_Tikli_konspekt_lv

Document Sample
IN1200_Dator_Tikli_konspekt_lv Powered By Docstoc
					                                                              1




                                                SATURS


1.Ievads                                                 4

2.Pamatjēdzieni un definīcijas.                          4

3.Drošības protokolu vispārējais apskats                 7.

4.Citas tehnoloģijas                                     12

5.Drošības standartu Internet datu bāzes                 13

6.Vispārēja testēšana                                    15
6.1. Testēšanas platforma                                15
6.2. Testēšanas analīze un rezultāti.                    17
7.Veiktspējas un citu parametru testēšana.               18
7.1.Drošības pārbaudes rezultāti.                        20
7.2.Veiktspējas pārbaudes rezultāti.                     20

7.3. Laiksakritīgas darbības testēšana                   24
7.4. Vārteju pārvaldības funkcijas testēšana.            25
8. Cisco modeļu veiktspējas testēšanas rezultāti         29
                                                                                  2


8.1. Testa apraksts                                                    29

8.2. Testēšanas rezultāti                                              30




          DATORT”IKLU DRO”S”IBAS SIST”EMU TEHNOLO”GIJAS
                                        1.Ievads.
   Ielikt no rokrakst’ita.



                             2.Pamatjēdzieni un definīcijas.

   Ar tīkla drošību mēs saprotam tīkla spēju aizsargāties no nesankcionētas pieejas
programmām un datiem, kā arī no to nejaušas iznīcināšanas vai bojājumiem.
   Tīkla drošības problēma kļuva īpaši aktuāla pēdējos gados sakarā ar virtuālo
privāto tīklu (VPN) strauju izplatīšanos pasaulē. VPN (Virtual Private Network) ir
teritoriāls datoru tīkls (WAN), kurš jebkuram klientam strādā kā neatkarīgs privāts
tīkls, kaut gan to kopīgi izmanto vairāki šī datoru tīkla lietotāji.
   Drošība un tīklu veiktspēja ir galvenie tīklu parametri, kuri tiek ņemti vērā,
projektējot VPN.
                                                                                        3

  Mūsdienīgie VPN tīkli bāzējās uz bezsavienojuma režīma (connection less) IP
publiskiem tīkliem, kuri tiek izmantoti kā pamattīkli (backbone) ar garantētu
veiktspējas un drošības pakāpi. Internets ir ieguvis līderpozicijas kā vislētākais
variants VPN tīklu izveidošanā.
  Sakarā ar šo faktu, tika izstrādāti attiecīgi protokoli, programmatūra un aparatūra,
ar kuru palīdzību tiek nodrošināta gan VPN veiktspēja, gan nodrošināta arī tā drošība.
  VPN tīkli dalās trīs kategorijās:
   Remote Access VPN – attālās pieejas tīkli;
   Internet VPN – korporatīvie tīkli;
   Extranet VPN – starpkorporatīvie tīkli.
  Attālās pieejas tīklos attālinātie lietotāji pieslēdzas pie tuvākā Internet mezgla
(POP), no kura datu pārraide Internet tīklā līdz korporatīvajam tīklam notiek
  « tunnelling » – tunelēšanas režīmā.
  Korporatīvajā tīklā atsevišķi korporācijai piederošie lokālie tīkli sazinās savā
starpā, izmantojot Internet tīklu.
  Extranet VPN dažādas korporācijas savā starpā sazinās, izmantojot Internetu.
  Lai padarītu nosūtīto ziņojumu visiem, izņemot pilnvaroto saņēmēju, neizlasāmu,
nosūtītājs datus šifrē (encrypt) Šajā nolūkā tiek izmantotas dažādas tehnoloģijas un
paņēmieni, kuri tiek ietverti drošības protokolos un aprakstīti, izmantojot speciālus
terminus. Turpmāk mēģināsim izskaidrot dažus no tiem, tādā veidā izveidojot vienādu
terminoloģijas bāzi.
  Key – (atslēga) – simbolu secība, kuru izmanto šifrēšanas un atšifrēšanas
procedūrās, attiecīgi šifrētā un atklātā teksta iegūšanai.Piemēram, atslēga varētu būt
kāds skaitlis. Sūtīto tekstu kopumā varam uzrakstīt arī kā lielo skaitli. Pirms sūtīšanas
varam reizināt šo skaitli ar skaitli- atslēgu un rezultātu pārraidīt korespondentam.
  Šajā gadījumā reizināšana ir šifrēšanas (encryption) process. Lai atšifrētu saņemto
tekstu, korespondentam jāveic pretēja procedūra – jādala saņemto skaitli ar skaitli –
atslēgu. Šifrēto datu pārraides sākumā korespondentam jāpaziņo šifrēšanas algoritms
                                                                                        4

un šifra atslēga. Tieši šeit parādās šifrēšanas procedūras vājā vieta – ziņojumu par
šifra atlēgu un algoritmu var pārtvert nevēlama persona un tādā gadījumā datu
pārraides un apstrādes drošība nevar būt garantēta. Tieši publiskajā Internet tīklā
tādiem negatīviem gadījumiem ir vislielākā varbūtība un tādēļ, lai nodrošinātu
Internet tīklu ar augstu drošības pakāpi, tiek izstrādāti dažādi paņēmieni un protokoli.
Viens no tiem ir IPSec (Internet Protocol Security), kas, atšķirībā no agrākajām
pieejām drošības problēmu risināšanā lietojumslānī, izstrādāts, lai panāktu drošu
pakešu apstrādi tīkla slānī. IPSec ir īpaši piemērots virtuālo privāto tīklu veidošanai
un     lietotāju   attālas   pieejas   nodrošināšanai   privātajiem tīkliem,   izmantojot
iezvansavienojumus.
     IPSec procesa laikā tiek pielietoti dažādi paņēmieni, piemēram, tādi kā lietotāja
autentificēšana (authentication) un sankcionēšana (authorization).
     Autentificēšana ir procedūra, kas ļauj pārbaudīt, vai lietotājs atbilst norādītajam
identifikatoram. Par identifikatoraiem var kalpot dažādas paroles (password) vai
šifrēšanas atslēgas, turpretīm sankcionēšana ir pilnvaru piešķiršana personai vai
personu grupai noteiktu darbību izpildei datu pārraides un apstrādes sistēmās.
     Datu pārraides laikā daži IPSec elementi nodrošina datu pareizības, nepretrunīguma
un pilnības saglabāšanu, t.i., datu integritāti (data integrity). Viens no mehanismiem,
kurš nodrošina datu integritāti, ir datu iekapsulēšana ( data encapsulation) – datu
bloka konstruēšana, pievienojot datu paketei papildus vadības informāciju (sākuma un
beigu norobežotājus, bloka pārbaudes sekvenci u.c.).




                      3.Drošības protokolu vispārējais apskats.


     Pēdējos gados VPN drošības garantēšanai tika izstrādāta virkne standartu..
Galvenie no tiem ir IPSec, PPTP (Poin-to-Pont Tunnelling Protocol), L2F (Layer-2
Forwarding) un L2TP (Layer-2 Tunnelling Protocol) protokoli.
                                                                                     5

  IPSec tika izstrādāts, lai savienotu lokālos tīklus (LAN) caur Internetu, izmantojot
šifrētas datu plūsmas, kā arī, lai nodrošinātu klientu attālu pieeju saviem lokālajiem
tīkliem.


  IPSec atslēgas pielietošanā izmanto divus standartus – augšējo standartu IKE
(Internet Key Exchange), kurš agrāk bija zināms kā ISAKMP (Oakley) un atslēgu
savstarpējās apmaiņas standartu SKIP (Simple Key Exchange Internet Protocol). Šis
protokols noteic arī vēl divas drošības metodes, kuras tiek izmantotas datu pārraižu
laikā. Tās ir ESP (Encapsulation Security Payload) un AH (Authentification Header).
  ESP nosaka tunelēšanas metodi, t.i., izejošās paketes šifrēšanas procesu un tās
«ielikšanu» lielākā paketē pirms pārraides.
  AH nosaka datu plūsmu autentificēšanas procedūru.


  Punkts ‘a’
6
                                                                                 7




  Bez IPSec standartiem, pastāv arī citi drošības protokoli.


  Viens no IPSec alternatīvēm ir PPTP (Poin-to-Pont Tunnelling Protocol)
protokols, kurš tiek pielietots klientu pieslēgšanai VPN tīkliem, izmantojot PPTP
serveri. PPTP izveido drošu tuneli starp klientu un serveri, iekapsulējot šifrētus
ziņojumus TCP/IP paketēs. Šis protokols pārsvarā tiek pielietots Windows
operētājsistēmu vidē.


  L2F (Layer-2 Forwarding) protokols tiek izstrādāts CISCO un dod iespēju
iekapsulēt dažādu protokolu ziņojumus TCP/IP paketēs, bet šajā gadījumā ir
nepieciešams speciāls ar L2F saderīgs maršrutētājs.
                                                                                       8

  L2TP (Layer-2 Tunnelling Protocol) apvieno sevī visu to labāko, ko dod L2F un
PPTP protokoli. Šis protokols atbalsta citus protokolus un var būt izmantots ,
pārraidot datus no IP atšķirīgos tīklos.


  TLS (Transport Layer Security) protokols ir aprakstīts RFC 2246 dokumentā un ir
paredzēts «klients/serveris» pielietošanai. Tas aizsargā datu pārraidi no noklausīšanās,
kā arī no pakešu un parakstu viltošanas. TLS ir divlīmeņu protokols. Pirmajā līmenī
darbojas TLS Record Protocol, otrajā – TLS Handshake Protocol.
  Pirms datu pārraides, TLS Record Protocol sadala ieejošo ziņojumu atsevišķos
blokos, saspiež datus, pielieto datiem HMAC (Hashed Message Authentiention
Code), šifrē datus un pēc tam pārraida blokus korespondentam.
  Pēc datu saņemšanas protokols atšifrē, verificē, atver, reasamblē un piegādā datus
augstākstāvošam klientam.
  TLS Handshake Protocol tiek izveidots no trīs apakšprotokoliem, kuri
korespondentiem dot iespēju saskaņot drošības parametrus tālākai TLS Record
Protocol izmantošanai. Te arī notiek korespondentu autentificēšana un kļūdu
protokolu apmaiņa starp tiem. Šo protokolu var uzskatīt par SSL (Secure Sockets
Layer) tālākās attīstības modifikāciju.
  TLS protokola savienojumam ir trīs galvenās raksturīgās īpašības:
   Savienojums ir privāts. Šifrēšana notiek tikai pēc sākotnēja “rokas spiediena”,
      kura laikā tiek definēta drošības atslēga un šifrēšanai tiek izmantota simetriskā
      kriptogrāfija;
   Savienojuma autentificēšana notiek, izmantojot asimetriskas atslēgas PK
      (Public Key).TLS/SSL nodrošina kā servera autentificēšanu, kā arī paša klienta
      autentificēšanu.
   Ziņojuma pārraides laikā tiek izmantots MAC (Message Authentification Code),
      kas nodrošina datu integritāti. MAC izveidošanai tiek pielietota SHF (Secure
      Hash Function) proced’ura.
                                                                                   9

  
  Open PGP (Open Pretty Good Privacy) specifikācija izstrādāta kā alternatīva RSA
algoritmam un kurš tiek plaši pielietots elektronisko ziņojumu pārraidīšanai,
izmantojot S/MIME protokolu. PGP bāzēts uz diviem šifrēšanas mehanismiem –
Public Key un tradicionālās šifrēšanas. Ar šī protokola palīdzību var pārraidīt gan
ziņojumus, gan failus, pie tam protokols nodrošina konfidencialitāti un sifra
parametrus.
  Protokola Open PGP specifikācija RFC 2440 paplašina RFC 2015 specifikāciju.
Dažas speciālistu grupas turpina protokola uzlabošanu tādos virzienos, kā :
   Papildus apliecību (certificate) tipu izstrādāšanā dažādām Public Key
      infrastruktūrām (X.509V.3, SPKI-SDSI u.c.);
   Jaunu šifrēšanas metožu izstrādāšanā (elliptic curve, symmetric ciphers);
   Public Key apmaiņas metožu uzlabošanā.
  Nobeigumā jāatzīme, ka specifikācija RFC 2015 apraksta           PGP pielietošanas
variantu kopā ar MIME (Multipurpose Internet Mail Extensions) protokolu, tā
nodrošinot ziņojuma autentificēšanu un tā slepenību.


  S/MIME (Secure/Multipurpose Internet Mail Extensions) ir plaši izplatīts
protokols elektronisko pastu sistēmās un tiek definēts dokumentā RFC 2634.
Specifika apraksta protokolu kā protokolu, ar kura palīdzību tiek veidots
elektroniskais paraksts un veikta teksta šifrēšana, izmantojot RSA (Rivest, Shamir,
Adleman) publisko atslēgu.


  PKI    (Public Key infrastructure) ir publiska atslēga, kuras infrastrukūra tika
veidota no dažādiem servisiem un standartiem, kuri nodrošina publisko atslēgu
kriptogrāfijas pielietošanu. PK pielietošana ir saistīta ar atslēgu pārvaldīšanas
dienestiem – CA (Certification Authority) un RA (Registration Authority). Šie
                                                                                       10

dienesti nodrošina atslēgu reģistrāciju, to anulēšanu, atslēgas izvēlēšanos un atslēgu
validāciju.


  2000.gadā Internet Public Key Infrastructure Working Group pabeidza izstrādāt
PKIX specifikāciju, kura nosaka sertifikāta X.509 formātu un semantiku un kura
pamatā tika likts dokuments X.509V.3. Tika izstrādāts arī speciālais modulis ASN.1,
kurš spēj nodrošināt dažādas datu struktūras ar šifrēšanas mehānismiem, kuri bāzējās
uz populāriem kriptogrāfiskiem algoritmiem.
  Minēto publisko atslēgu (PKI un PKIX) infrastruktūra tiek izveidota , lai
organizētu un pārvaldītu publisko atslēgu pielietošanu. Apskatīsim dažus publisko
atslēgu PKC (Public Key Cryptography) pamatjēdzienus.


  PKC sistēmā katrs lietotājs ģenerē divas datu šifrēšanas un atšifrēšanas atslēgas –
publisko un privāto. Pieņemsim, ka SA ir lietotāja A privātā slepenā atslēga, bet PA –
lietotāja publiskā atslēga. Kad ziņa x tiek šifrēta ar A publisko atslēgu, tā tiek
pierakstīta kā PA {x}, bet lietojot slepeno atslēgu SA, šo šifrēto ziņu var atšifrēt, lai
iegūtu oriģinālu, tāpēc SA{PA{x}} ir tas pats, kas x. Līdzīgi varam šifrēt ar slepeno
atslēgu SA un atšifrēt ar publisko atslēgu PA, tā kā PA{SA{X}} = x un tādēļ varam
konstatēt, ka eksistē SA{PA{X}} = PA{PA{X}} un tas dot pamatu saukt publisko
atslēgu par simetrisko atslēgu.
  Jēdzieni “ privātā atslēga” un “slepenā atslēga” ir lietojami abejādi, jo privātās
atslēgas slepenība (neviens bez atslēgas īpašnieka to nevar kontrolēt) ir būtiska
sistēmas drošības sastāvdaļa.
  Lai saņemtu privāto atslēgu pāri, klientam jāgriežās pie centralizētā atslēgu
dienesta – Certification Authurity (CA), kurš pilda savas rekomendācijas pēc ITU
x.509 rekomendācijām. Pēc klienta pieprasījuma, dienests izsniedz tam sertifikātu,
kurā tiek uzrādīts klienta uzvārds, piešķirtā publiskā atslēga un norādīts sertifikāta
derīguma termiņš. Katram sertifikātam tiek piešķirts vienreizējs unikāls numurs.
                                                                                    11

Sertifikātā ietilpst arī standarta MD5 šifrējošā jaukšanas fukcija (hash function),
parakstīta ar CA privāto atslēgu.
  Šis dienests pilda arī atslēgu anulēšanas funkciju (Revocation) . Anulēšana ir
nepieciešma gadījumos, kad klients dažādu iemeslu dēļ vēlās nomainīt savu
iepriekšējo atslēgu. Šajā gadījumā CA dienests ieraksta sertifikāta unikālo numuru
anulēto sertifikātu sarakstā (list of revoked certificates), paraksta to un izplata šo
sarakstu citiem dienestiem.
  Īsumā parādīsim privāto atslēgu tehnoloģijas pielietošanu dokumentu parakstīšanā
un pārvietošanā no klienta B klientam A:




  Zim.3. ……
 Klients B izveido dokumentu x
 B izveido dokumenta x saīsinājumu, izmantojot šifrējošo jaukšanas funkciju.
   Jaukšanas funcijas (hash function) ir funkcijas, kuras no dokumenta (bitu
   virknes) jebkurā garumā izveido simbolu virkni (hash) ar fiksētu garumu. Tipisks
   hash garums ir 160 biti. Populārākie hash algoritmi ir MD5 un
                                                                                       12

   SHA-1. Lietojot dokumentam vienu un to pašu hash funkciju, iegūstam vienu un
   to pašu rezultātu. Jaukšanas funkcijas ir noturīgas pret sakritībām, t.i., faktiski ir
   neiespējami atrast citu dokumentu, kurš rezultātā dotu tādu pašu hash. H(x) ir
   dokumenta x hash.
 B šifrē hash, izmantojot savu privāto atslēgu: SB{H(x)}. Tādā veidā tiek formēts
   digitālais paraksts. Digitālais paraksts tiek pievienots dokumenta oriģinālam, tā
   iegūstot pabeigtu elektronisko dokumentu, t.i., x+ SB{H(x)}.
 B šifrē visu dokumentu, izmantojot korespodenta A publisko atslēgu:
   PA{ x+ SB{H(x)}. Šifrēšana nodrošina, ka neviens, izņemot A, nevar atšifrēt šo
   šifrēto dokumentu.
 Dokumenta šifrēto versiju ar digitālo parakstu var pārvietot, izmantojot jebkuru
   vidi.
 Kad A saņem šifrēto dokumetu, tas vispirms atšifrē to ar savu privāto atslēgu un
   iegūst dokumenta atšifrēto versiju: SA{PA{ x+ SB{H(x)}}} = x + SB{H(x)}.
 Pēc tam A atdala dokumenta oriģinālu no tā digitālā paraksta SB{H(x)}.
 Lietojot to pašu jaukšanas funkciju, kuru izmantoja B, A no dokumenta x izveido
   ziņas izvilkumu H(x).
 A atšifrē digitālo parakstu SB{H(x)}, kuru B šifrēja ar savu slepeno atslēgu., bet ar
   B publisko atslēgu, kuru A ieguva no CA, t.i., PB{SB{H(x)}}}. Tādā veidā A
   iegūst hash, kurš atradās digitālajā parakstā: H(x).
 A salīdzina abus hash- to, ko A ieguva H(x) un to, kurš atradās B izveidotajā
   digitālajā parakstā. Ja šie divi hash sakrīt, salīdzināšana ir veiksmīga un
   autentificēšana ir notikusi, t.i., dokuments ir tieši tādā pašā formā, kāds tas bija,
   kad B to parakstīja. Ja salīdzināšana nav veiksmīga, tad visdrīzāk kāds ir izmainījis
   dokumenta oriģinālu vai digitālo parakstu. Jebkurā gadījumā paraksts nav derīgs
   un dokumentam nav legāla spēka.
                                                                                        13

                               4.Citas tehnoloģijas.
  World Wite Web Consortium (W3C) izstrādājis jaunu dokumentu Privacy
Preference Project (P3P). Šis dokuments nodrošina Web saites ar iespēju paziņot
klientam par tiesībām kontrolēt tam piederošo vai to raksturojošo datu uzkrāšanu
(privacy). Klientam var būt nodrošinātas konkrētas priekšrocības (preference)
līmenis, kurš dod iespēju klientam veikt datu izvades, ievades vai modifikācijas
operācijas “ seamlessly” – viengabalaini.
  P3P izmanto RDF/XML tiesību noteikumu definēšanai, kā arī datu apmaiņai, kura
notiek ar klienta uzraudzību. P3P platforma var būt ievietota brovseros, serveros vai
proxy serveros starp klientu un serveri.


  OPS (Open Profiling Standard) nodrošina Internet servisa personalizāciju un
klienta tiesību aizsardzību. Standarts nosaka metodes, ar kuru palīdzību notiek
dienesta datu apmaiņa starp klientiem un servisa provaideriem. OPS dod iespēju
klientam ievadīt attiecīgu dienesta informāciju tikai vienu reizi un automātiski sadalīt
to starp servisiem.
  No otras puse OSP ievērojami palielina klienta slepenību, t.i., tiesības kontrolēt tam
piederošo datu uzkrāšanu, kā arī to apmaiņu.


  Steganography, Digital Watermarking.
  Steganography apzīmē metodes slepenām datu pārraidēm, piemēram, tādās, kā
neredzāmā tinte, simbolu perturbācija, atšķirīgu no tradicionālas kriptogrāfijas,
digitālu parakstu, izplatīta (spread) spektra pārraidi un citas metodes, kuras noslēpj
ziņojuma eksistēnci datu pārraides laikā. Pamatā šai metodei ir spēja paņemt kādu
informācijas bloku un izvietot to citā blokā paslēptā veidā. Tādi datu faili, kā attēlu
faili, ietver sevī nebūtiskus informācijas blokus, kurus “Steganography” nomaina ar
citu bloku, piemēram, ar šifrētu ziņojumu. Tādā veidā fails tiek pārraidīts datu kanālos
                                                                                           14

un nepiederošiem nav iespēju to atšifrēt. Piemēram, failā ar kosmiskā kuģa palaišanas
attēlu var būt ievietots konfidenciāls šifrēts ziņojums.
  Digital Watermarking ir termins, kurš tiek pielietots, lai aprakstītu tēla bitus,
iegultus pamatfailā ar nolūku tālākai faila autora noskaidrošanai.


                    5.Drošības standartu Internet datu bāzes.
  Datoru tīklu drošības standarti ir pieejami dažādās Internet datu bāzēs.
  Informāciju par standartiem var iegūt sekojošās adresēs:
         http:// www.echo.lu/oii/en/secure.html
         http:// www.rtc-editor.org/rtc.html
         http:// www.ietf.org
         http:// www.rsa.com


  Visos standartos tiek izmantoti kriptogrāfiskie algoritmi un
paņēmieni.Kriptogrāfiskie standart tiek aprakstīti sekojošos WEBos:
         http:// www.rsa.com(PKCS-ISO/IEC11770)
         http:// www.grouper.ieee.org/groups/1363 (Standard Specifications For
      Public Key Cryptography IEEEP/363)
         http:// www.certicom.com (Elliptic Curve Cryptography). Šis algoritms ir kā
      alternatīva RSA algoritmam. Tā priekšrocība salīdzinot ar RSA ir mazais
      atslēgas garums, saglabājot noteikto drošības līmeni.
         http:// www.csrc.ncsl.nist.gov/encryption/aes/aes_home.html. (Advanced
      Encryption Standard (AES)). Šis standarts tiek virzīts no NIST (National
      Institute of Standards and Technology) ar nolūku aizvietot eksistējošo DES
      standartu ar AES.
         http:// www.ict.etsi.org/lefteesi.html. Šeit ir atrodami elektronisko parakstu
      regulējošie dokumenti. Datu bāze pieder EESSI (European Electronic Signature
      Standartisation Initiative)
                                                                                         15

  RFC dokumenti, tādi kā RFC 1825 (Security Architecture for the Internet
Protocol), RFC 1826 (IP Authentication Header), RFC 1827 (IP Encapsulating
Security Payload) ir pieejami sekojošos saitos:
        ftp.isi.edu/in-notes/rtc1825.txt
        ftp.isi.edu/in-notes/rtc1826.txt
        ftp.isi.edu/in-notes/rtc1827.txt


  Tālākā izklāstā tiks izanalizētas tīklu drošības sistēmas sākot no vispārējas analīzes
un beidzot CISCO modeļu savstarpēju salīdzinājumu.




                                 6.Vispārēja testēšana
  Vispārēja drošības sistēmu testēšana tika veikta 1999.gadā [1]. Testēšanas
galvenais mērķis bija izpētīt dažādu firmu tīklu drošības sistēmas saderību. Tika
izanalizētas tādu ražotāju kā Axent Techonologies Inc., Check Point Software
Technologies Inc., CISCO Systems Inc., Data Fellows Ltd., IBM, Intel Network
Systems Inc., Nothern Telecom Ltd., Radquard Ltd., 3Com Corp., Timestep Inc., Open
BSD Inc. un Redereek Communications Inc 12 sistēmas.
  Visu šo sistēmu pamatā bija IPSec arhitektūra.
  Jāuzsver, ka šajā vispārējā testēšanā drošības sistēmas veiktspēja netika apskatīta.


6.1. Testēšanas platforma
  Pirms testēšanas platformas apraksta atgādināsim IPSec galvenos principus. IPSec
apvieno sevī trīs galvenos komponentus:
  1. autentificēšanas iesākums (Authentication heater- AH) verificē sūtītāja identitati
      un autentificē pārsūtāmo pakešu saturu.
                                                                                          16

  2. Datu iekapsulēšanas protokols ( Encapsulating security payload - ESP) pirms
     pārraides šifrē pakešu saturu, lai padarītu pārsūtāmo ziņojumu citiem
     nesaprotamu, izņemot pilnvaroto saņēmēju.
  3. Interneta atslēgu apmaiņa (Internet key exchange - IKE) regulē sifrēšanas
     atslēgu apmaiņu starpinformācijas sūtītāju un saņēmēju, izmantojot Internet
     tīklu. Agrāk šo protokolu sauca par Internet security association and key
     management – ISAKMP / Oukley protokolu.
  AH un ESP protokolos var būt izmantotas dažādas šifrēšanas shēmas. IPSec
protokolu saimē ir pieņemts, ka autentificēšanai ir jāizmanto MD5 (message digest 5)
shēma no RSA data Security Inc. vai SHA-1 (secure hashing algorithm 1) shēma no
U.S.National Security Agensy.
  Ražotāji var paši izvēlēties citas autentificēšanas un šifrēšanas shēmas. Visos
testējamo protokolos tika izmantots arī triple DES (data encryption standard), kas ir
viens no šifrēšanas standartiem.
  Citos produktos tika realizēti tādi jauni algoritmi, ka Blawfish, Cast, CDMF no
IBM, Idea un RC5 (Rivest Cipher 5) no RSA.
  Testos autentificēšanai tika izmantota MD5 shēma, bet šifrēšanai – DES shēma.
  Testēšanas procedūra sakās no drošības asociācijas (Security association - SA)
izveidosanas starp divam korespondējošajām stacijām. Rezultatā SA noteic tādus
drošības parametrus, kā izmantojamos protokolus – AH vai ESP, autentificēšanas un
šifrēšanas shēmas, atslēgas, atslēgas “dzīvotspējas” noteikto laiku un visu beidzot –
pašas asociācijas eksistēšanas laiku.
  Visas testēšanas procedūras notika starp divām vārtejām (gateway). Atslēgu
apmaiņa pēc IKE protokola notika divos etapos. Pirmajā etapā korespodenti izveidoja
asociaciju un uzstādīja drošības protokolu parametrus. Otrajā etapā pēc parametru
saskaņošanas tika izveidota otrā asociācija tieši datu pārraidei. Tādai procedūrai tiek
dots nosaukums “main- mode IKE”, kurš ir IKE galvenais variants. Eksistē arī
                                                                                         17

alternatīvs variants – “aggressive mode IKE”, kad visiem nolūkiem tiek izmantota
tikai viena asociācija. Konkrētaja testēšanā tika izmantots IKE galvenais variants.
  Pēc AS uzstādīšanas datu pārraide var notikt divos režīmos: “transport mode” vai
“tunnel mode”- tunelēšanas režīmā. Tieši pēdējais režīms tika izmantots testēšanā.
Šaja režīmā abas korespondējošās puses pirms pārraides paketes autentificē, šifrē un
iekapsulē šīs paketes jaunā paketē ar jaunu IP paketes iesākumu.
  Pats testēšanas stends tika izveidots, izmantojot Internet tīklu. Ieeja no
korespondējošajiem apakštīkliem Internet tīklā notika caur vārtejām. Katrā apakštīklā
darbojās savs resursdators.
  Saderības testēšana notika sešos virzienos vai variantos:
  1. AH ar rokas atslēgu pārvaldību;
  2. ESP ar rokas atslēgu pārvaldību;
  3. AH, izmantojot IKE ar iepriekš sagatavotām atslēgām;
  4. ESP, ar rokas atslēgu pārvaldību;
  5. AH un ESP ar rokas atslēgu pārvaldību;
  6. AH un ESP, izmantojot IKE ar iepriekš sagatavotām atslēgām.
  Sertificētā testēšanā cetralizētai atslēgu ģenerēšanai tika izmantots Entrust
Technologies Inc. produkts (ceriticode authority -CA).


6.2. Testēšanas analīze un rezultāti.
  Izejot no iepriekš minētās testēšanas shēmas un testēšanas variantiem, tika izpētīti
sekojoši rezultāti:
    Testēšana pēc pirmā varianta parādīja, ka:
 vairākums drošības sistēmu ir sekmīgi izturējuši testu uz saderību;
 produkts “Firewall-1” no Chek Point Inc.nespēja sekmīgi uzturēt mijiedarbību ar
   citām vārtejām. Tam par iemeslu ir tas ka, “Firewall-1” nepieļauj adresāciju
   iekšējā apakštīklā, kaut gan savā starpā “Firewall-1” vārtejas darbojās sekmīgi;
                                                                                          18

 Intel kompānijas produkts LXN rover arī nevarēja uzturet sakarus ar citiem
    produktiem tieši AH variantā, kaut gan pilnība atbalstīja ESP;
 Open BSD nespēja izveidot “tuneli” ar Axent un CISCO vārtejām.
    Testēšana parādīja, ka visi testējamie produkti atbalsta MD5 un SHA–1
              autentificēšanas un šifrēšanas shēmas, pie tam daži no tiem nodrošina arī
              jaunākos protokolus, piemēram, RMD 160 and triple DES-MAC.
     Otrā testēšanas variantā tika izpētīts ESP protokols un rezultātā tika fiksēts
       fakts, ka visi testējamie produkti ir saderīgi un visi nodrošina DES un triple
       DES šifrēšanas shēmas. Daži no produktiem varēja strādāt jaunākajos
       protokolos, tādos kā Cast, Blowtish un CDMF.
 Šajā testēšanā tika pārbaudīta produktu darbība IKE vidē ar iepriekš sagatavotajam
    atslēgām un izrādījās, ka visi testējamie produkti atbalstīja šo variantu, piemēram,
    Open BSD spēja strādat ar automatisko atslēgu ģenerēšanu tikai pēc tam, kad
    pirma atslēga tika uzstadīta “rokas režīmā”.
              Firmas IBM 2210 vispār nebija paredzēta šāda funkcija.
 Atslēgu “dzīvošanas” paredzētais laiks tiek merīts sekundēs un baitos, bet ta kā šī
    funkcija nav obligatajā IPSec protokolos, tad tikai 50% produktu nodrosina šo
    funkciju.
 Ļoti interesants tests tika saistīts ar testējamo produktu un sertifikatu
    sankcionēšanas centra (certificate autharity) mijiedarbības analīzi. Atklājās, ka
    apmēram puse no produktiem atbalsta šo funkciju, tajā skaita CISCO IOS un PIX,
    Intel Lanrover, Nortel Continity, Radquard cIPro-VPN un Timestep Permit / Gate.
 Kopuma testēšanas rezultātu analīze ļauj secinat, ka pārsvarā visi testējamie
    produkti atbalsta IPSec saderības pamatfukcijas.
 Firmas CISCO pārstāvētā produkcija testēšanas laikā nesaņēma nevienu negatīvu
    atzīmi.


                        7.Veiktspējas un citu parametru testēšana.
                                                                                             19

  Iepriekšējā nodaļa tika veltīta dažādu firmu realizēto drošības sistēmu saderības
problēmai, bet sistēmu veiktspējas jautājumi tika atstāti novārtā, tadēļ šajā nodaļā tiks
analizēta tieši sistēmu veiktspēja. Papildus tam tiks apskatīti arī sistēmu pārvaldības
un drošības jautājumi
  Testēšanu veica Network Test Inc.[2]. Testēšanas trijos mēnešos tika izmēģināti
IPSec produkti no 12 firmam. Produktu saraksts tiek paradīts 1.tabulā.
                                                                                    1.tabula
                                       Sk. pielikumā.


  Visi testējamie produkti atbalsta IPSec protokolus. Axent Technologies un Check
Point Technologies produkti pārstāv programmatūras realizāciju, bet pārējie ir
aparatūras veida produkti.
  Tāpat kā iepriekšējā gadījumā, testēšana notika starp divām vārtejām, izmantojot
imitētu Interneta tiklu. Pie katras vārtejas tika pieslēgti lokalie 100 base-T tīkli. Visi
testējamie produkti izmantoja IPSec protokolu saimi. Autentificēšanai tika pielietotas
Secure Hashing Algorithm 1 (SHA-1), bet šifrēšanai – “triple DES” protokoli.
  Protokolu testēšana notika trijos virzienos: drošības, veikspējas un pārvaldības.
  Drošības testā tika mēģināts atklāt katras VPN vārtejas vājās vietas. Veiktspējas
tests mērīja UDP un TCP ātrdarbību un latentumu (latency). Šaja testā notika arī
tuneļa laiksakratīgā darbība (concurrent operation). Ar “pārvaldības” testa palīdzību
tika pārbaudīta produktu mijiedarbība ar centralizēto atslēgu ģenerēšana centru
(certificate authority - CA), attālās vadības iespējas un iespēja piekļūt pie ārējām datu
bāzēm.
  Lai atklātu IPSec drošības vājās vietas, tika izmantots instrumentārijs Internet
Scanner 6.0.1 no Internet Security Systems [3]. Šajā testēšanas instrumentārijā ietilpst
datu bāze ar 300 aprakstiem par tīklu drošības sistēmu vājajām vietām.
  Veiktspējas analīzei tika izmantots datu plūsmas ģenerātors – Smartbits traffic
Analyzer no Spirent Communications. Testēšanas laikā datu plūsmas tika izveidotas
                                                                                          20

gan no 64, tā arī no 1400 byte paketēm. Pēc izmēra lielākas paketes nedrīkstēja ņemt,
jo tādā gadījumā datu iekapsulēšanai būtu nepieciešma pakešu fragmentācija un tas
varētu ieverojami ietekmēt ātrdarbības rezultātus. Testēšanas laikā trafika intensitāte
tika palielinata līdz tam brīdim, līdz kamēr paketes nesāka zust. Vislielākā
ātrdarbība, kura atbilda minētajiem nosacījumiem, noteica tīkla ātrdarbību.
  Lai pietuvinatu testu reāliem apstākļiem, tika izmantots reāla trafika ģenerātors
Chariot no NetIQ . Testēšanai tika izmantots FILESNDL scenārijs, pēc kura attālais
klients griezās pie servera, lai nolasītu 1-Mbyte failus.
  Vārteju laiksakritīgā darbība (concurrent operation) tika pārbaudīta, izmantojot
trafika ģenerātoru Tarantula no Arrowpoint Communications. Pēc Tarantula scenārija
tunelī tika mēģināts uzstādīt līdz 65500 savienojumiem starp darba stacijām no
dažādiem lokālajiem tīkliem. Pēc savienojuma uzstādīšanas darba stacijas pārraida
200 byte garu pieprasījumu WEB serverim WEB objekta pārsūtīšanai.
  Vārteju pārvaldības funkciju testēšanai tika izstrādāti trīs scenāriji – atslēgu
apmaiņas scenārijs, attālās administrēšanas scenārijs un pieejas pie attālas datu bāzes
scenārijs.
  Pēc pirmā scenārija ražotājiem bija jāizveido tunelis, griežoties pie sertifikatu
sankcionējošā centra (certificade authority - CA). Centrā tika izmantots produkts
Eutrust /PKI V.5.0 no Eutrust Tehnologies.
  Otrā scenārija tīkla menedžeriem tika piedāvāts veikt attālināto vārtejas
rekonfigurāciju.
  Trešjā scenārijā tika iekļauta mijiedarbības pārbaude starp VPN vārteju un lietotāja
direktoriju.
7.1.Drošības pārbaudes rezultāti.
  Kā tika iepriekš minēts, vārteju drošība tika pārbaudīta, izmantojot Internet Scanner
6.0.1 programmatūru un datu bāzi ar 300 aprakstiem par tipiskajam vājām vietām
tiklu drošības sistēmās. Neskatoties uz to, ka pie datu bāzes ir brīva pieeja un tipiskās
                                                                                         21

vajās vietas vārtejās varēja novērst jau pirms testēšanas, tomēr Check Point un
VPNet produktos “caurumi” tika fiksēti.
  VPNet vārtejas vājā vieta ir saistīta ar vieglo pieejamību pie parolēm. SNMP
agentos un Check Point produktu problēmas vairāk ir saistītas ar Sun Solari
operētājsistēmu, kura tiek izmantota vārtejas aparatūrā.
  CISCO produktos vājās vietas netika konstatētas.


7.2.Veiktspējas pārbaudes rezultāti.
  Testēšana notika īso pakešu (64 baiti) un garo (1400 baiti) vidē. Īso pakešu trafiks
stipri noslogo vārtejas sakarā ar to, ka ir japatērē daudz laika pakešu apstrādei un kļūst
skaidrs, ka alternatīvais variants ar garajām paketēm dod labākus rezultātus.
 Kā var redzēt no diagrammas (zīm.1.), lielako veiktspēju uzrādīja Net Screen-100
   vārteja. Vidējais pakešu pārraides ātrums sasniedza pat 27 Mb/s.
 Otro vietu pēc ātrdarbības ieņem VPNet VSU-1000/VPNos un CISCO 7100 VPN
   Ponter sistēmas, kaut gan ātruma atpalicība sastāda ~ 26%.
 Daudz labāki rezultāti tika sasniegti, izmantojot lielāka garuma paketes. Šajā
   rādītājā Net Screen-100 vārteja atkal ieņem pirmo vietu ar ātrdarbību 96 Mb/s
   (teorētiskais ātrums – 99,995 Mb/s).
 Otro vietu ātrdarbības jomā ieņem Intel Netstruenture 3130 VPN Gatway, Lucent
   VPN Firewall Brick 80 un CISCO 7100 VPN Router produkti. Šeit atpalicība ir
   samazinajusies līdz 14%.
 No tā izriet secinajums, ka pārraidot lielu datu apjomu, ātrdarbības zudumi sakarā
   ar IPSec ieviešanu nav tik lieli kā tika uzskatīts pirms eksperimentiem.
                                                                   22




Zīm.4.Vārteju caurlaidspēja, izmantojot 64 baitu paketes un UDP.
                                                                                  23




        Zīm.5. Vārteju caurlaidspēja, izmantojot 1400 baitu paketes un UDP.


 Sistēmu testēšana pietuvinata reāliem apstākļiem tika veidota, izmantojot testus
   Chariot un Microsoft TCP protokolu. Ir skaidrs, ka datu pārraide TCP vidē, kā arī
   savienojuma režīms, kurš prasa apliecinajuma paketes pārraidi, notiks ar daudz
   mazāku ātrumu nekā NDP variantā
 Testēšanas rezultāti ir atspoguļoti 3.zīmējumā, kura skaidri redzams ātrdarbības
   kritums.
                                                                                  24




                Zīm.6. Vārteju caurlaidspēja TCP protokolu vidē.


 Pēc šī testēšanas rezultatiem atkal pirmo vietu ieņem Netscreen-100 sistēma ar
   ātrdarbību ļoti tuvu teorētiskajam maksimumam.
 Otro vietu ieņem Intel Netstructure 3130VPN gatway, Lucent VPN Firewalt
   Brick 80, VPNet VSU – 1000 un CISCO 7100 VPN Router.
 Jaatzīmē, ka trīs sistēmas – Alcatel, IRE un Sonic ir krasi samazinājušas
   ātrdarbību TCP vidē, salīdzinot ar darbu UDP protokolā.
 Uz sistēmu veikstspēju atstāj ietekmi arī aparatūras latentums, t.i., laika
   intervāls no brīža, kad tīkla stacija pieprasa pieeju datu pārraides kanālam līdz
   kanāla izdalīšanai un pieejas garantijas saņemšanai. Testēšanas laikā tika
                                                                                      25

     izmērīts latentums, kuru ievieš tieši vārteja, neņemot vērā datu pārraides kanāla
     latentumu.
       Latentums ir atkarīgs no vārtejas slodzes. Testēšanas laikā tika uzstādīta
  vislielākā slodze, pie kuras vēl nebija novērojama pakešu zaudējumi. Pie lielām
  slodzēm sistēmas latentums ir ļoti jūtīgs pret slodzes izmaiņām, piemēram, VPNet
  VSU-1000 sistēma nodrošināja 15ms latentumu pie 75% lielas slodzes. Līdz ko
  slodze tika samazināta līdz 70%, latentuma kritums sasniedza 1,3ms – t.i., 12
  reizes.
   Gandrīz visas sistēmas, ieskaitot CISCO, Intel, Sonicwall un Watehguard
     samazina latentumu pie slodzes krituma.
7.3. Laiksakritīgas darbības testēšana
  Laiksakritīga darbība (concurrent operation) paredz divu vai vairāku tuneļu
izveidošanu starp divām vārtejām. Tāda iespēja ir ļoti aktuāla, kad ir nepieciešamība
vienlaidzīgi uzstādīt aizsargātus kanālus starp attālinātām darba stacijām korporatīvajā
tīklā. Izrādās, ka ne visas testējamās sistēmas var nodrošinat tādu funkciju. Tikai
četras no divpadsmit sistēmām izgāja šo testu. Tās bija sistēmas no CISCO, Intel,
NetScreen un Watchguard ražotājiem. Testēšanas rezultāti ir atspoguļoti 4. zīmējumā.
                                                                                                    26

                               Zīm.7. Vārteju laiksakrītīga darbība


  Pēc šiem rezultātiem varam izdarīt sekojošus secinājumus:
 Labākos rezultātus uzrādīja CISCO 3100 Router. Šī sistēma dod iespēju izveidot
   2261 vienlaicīgus paralēlus tuneļus starp divām tikla vārtejām.
 NetScreen ieņem otro vietu, uzstadot paralēli 1101 tuneļus.
 Trešā vietā ierindojās Intel NetSfucture ar 255 tuneļiem.
 Ceturto vietu ieņem Watehguard Fast VPN vārteja, kura nodrosināja 99 paralēlus
   kanālus.
7.4. Vārteju pārvaldības funkcijas testēšana.
  Pirmais testēšanas scenārijs saja testa tika sastādīts tādā veidā, lai pārbaudītu
sistēmu iespēju pieprasīt sertifikātu no centralizētā dienesta (certificate authority-
CAt). Šajā nolūkā Entrust/PKI version 5.0 sistēma no Entrust Technologies tika
izmantota, lai izveidotu CA.
Vārteju pārvaldības funkcijas testēšanas rezultāti:
   Piecas no 12 vārtejām nevarēja saņemt sertifikātus no Entrust servera.
   Divas sistēmas no Sonicwall ub Watehquard tagad pastāvošajā versijā vispār
     neizmanto PKI.
   IRE SafeNet var izmantot X.509 sertifikatu, bet tikai strādājot ar savu
     specializēto serveri.
   Intel sistēma arī nevarēja sadarboties ar Entrust/PKI version 5.0. Firma apgalvo,
     ka ar versiju 4.0 sistēma var stradāt.
  Rezultātus varam apskatīt 2. Tabulā.
                                                                                          Tabula 2.
                                                   L              Min     Avg     Max Standard
                                                        Out Of
     Name       Load (%)    Sent    Received                    Latency Latency Latency Deviation
                                               ost     Sequence
                                                                (uSecs) (uSecs) (uSecs) (uSecs)

  64-byte UDP
  Alcatel          8       357142   357142     0          0     331.6   457.4   1443.8   175.8
                                                                                                    27

Axent            2       89285     89285      0         1339   260.8    421.9    14955.6 1590.7
Check Point      2                            0           0             429.2
Cisco           19       848214    848214     0           0    375.6    533.5    1601.8    211.6
Intel           15       669642    669642     0           0    174.3    2005.9   26051.2   7808.1
IRE              5       223214    223214     0           0    310.5    379.3    4018.1    172.6
Lucent          13       580357    580357     0          15    554.6    2232.1   10952     1703.9
NetScreen       27       1205357   1205357    0           0    105.5    212.5    328.4     0
Radguard         1       44642     44642      0           0    676.2    1252.9   3398.9    761.1
SonicWALL        3       133928    133928     0           0    1053.6   2596.9   3695.7    0
VPNet           20       892857    892857     0           0    217.8    618.4    1211      115.5
WatchGuard       4       178571    178571     0           0    265      1103.3   8861.7    2127.1



Chariot TCP
            Avgerage
Name
            (Mbps)
Alcatel     31.965
Axent       13.658
Check Point 45.222
Cisco       68.553
Intel       73.359
IRE         16.021
Lucent      71.251
NetScreen   89.944
Radguard    8.089
SonicWALL 29.985
VPNet       68.994
WatchGuard 18.803



                                                  L              Min     Avg     Max Standard
                                                       Out Of
   Name       Load (%)    Sent     Received                    Latency Latency Latency Deviation
                                              ost     Sequence
                                                               (uSecs) (uSecs) (uSecs) (uSecs)

64-byte UDP
Alcatel          8       357142    357142     0           0    331.6    457.4    1443.8 175.8
Axent            2       89285     89285      0         1339   260.8    421.9    14955.6 1590.7
Check Point      2                            0           0             429.2
Cisco           19       848214    848214     0           0    375.6    533.5    1601.8    211.6
Intel           15       669642    669642     0           0    174.3    2005.9   26051.2   7808.1
IRE              5       223214    223214     0           0    310.5    379.3    4018.1    172.6
Lucent          13       580357    580357     0          15    554.6    2232.1   10952     1703.9
NetScreen       27       1205357   1205357    0           0    105.5    212.5    328.4     0
Radguard         1       44642     44642      0           0    676.2    1252.9   3398.9    761.1
SonicWALL        3       133928    133928     0           0    1053.6   2596.9   3695.7    0
VPNet           20       892857    892857     0           0    217.8    618.4    1211      115.5
WatchGuard       4       178571    178571     0           0    265      1103.3   8861.7    2127.1
                                                                                      28


  Chariot TCP
              Avgerage
  Name
              (Mbps)
  Alcatel     31.965
  Axent       13.658
  Check Point 45.222
  Cisco       68.553
  Intel       73.359
  IRE         16.021
  Lucent      71.251
  NetScreen   89.944
  Radguard    8.089
  SonicWALL 29.985
  VPNet       68.994
  WatchGuard 18.803




      Tunnel
     capacity
  Cisco         2,261
  Intel         255
  Netscreen     1,001
  Watchguard    99



  Otrais testēšanas scenārijs tika orientets uz tīkla administrātora         attālinātās
pārvaldības iespēju pārbaudi un testēšanas rezultāti parādīja, ka visas testējamās
sistēmas var uzturēt aizsargājamu kanālu starp administrātora staciju un vārteju.
   Vārtejas no Check Point Software Technologies, CISCO, NetScrien un Raquard
     nespēj automātiski atcelt eksistējošos tuneļus pēc vārteju konfigurācijas
     izmaiņām.
   Četrās sistēmās no Alcatel, Axent, Intel un VPNet izmaiņas notiek, bet tika
     veiktas 10 sekunžu gara laika intervālā. Tajā pat laikā sistēmas no Sonicwall un
     Watchquard pēc attālinātās rekonfigurēšanas prasa atkārtotu uzsākšanu. Pēc 36
     – 50 sekundēm sistēmas spēja atjaunot savu darbību.
                                                                                         29

  Pēc trešā scenārija tika pārbaudīta iespēja veikt izmaiņas vienā reizē, laikā, kad
izmaiņas notiek visās iesaistītajās vārtejās automātiski, bez nepieciešamības griezties
pie katras atsevišķi, kā rezultātā:
     Sistēmas no Alcatel, Check Point, Lucent un VPNet nodrošināja izmaiņas
      akcijā.
     Sistēmas no CISCO, Sonicwall un Watchquard tapat atbalstīja šo funkciju, taču
      pielietojot speciālo pārvaldības programmatūru.
     Sistēmas no Axent un Intel pieprasīja rokas rekonfigurāciju katrai vārtejai
      atsevišķi.
  Papildus      tika   novērtēta      vārteju   iespēja   mijiedarboties     ar   lietotāja
direktorijiem.Testu rezultati atklāja, ka:
   Visas vārtejas spēj mijiedarboties kaut ar vismaz vienu ārējo direktoriju.
   Lielāka daļa vārteju dod iespēju ieviest un sadalīt lietotājus atsevišķās loģiskās
      grupās. Kā izņēmums bija sistēma no Sonicwall.
   Uzskaitīšana (accounting) nav vārteju galvenā īpašība. Ar to izskaidrojams,
      kāpēc tikai divās sistēmās – no Radquard un Watchquard ir iekļautas atskaites
      ģenerātori. Pārējās sistēmas šai funkcijai izmanto ārējos līdzekļus.
  Kopumā varam izdarīt secinājumu, ka veiktspējas ziņā labākos rezultātus
parādīja sistēma NetScreen-100 no firmas NetScreen.Stabilu otro vietu ieņēma
sistēmas CISCO 7100 VPN Router, Intel Netstructure 3130 VPN Gatway un
Lucont VPN Firewall Brick 80.
  Vislabakos rezultātus paralēli vienlaicīgu tuneļu izveidošanā paradīja CISCO
sistēmas ar lielu atravienu no pārējām sistēmām.
  Visas testējamās sistēmas, izņemot Check Point Firewall parādīja iespēju
mijiedarboties savā starpā.
                                                                                         30



               8. Cisco modeļu veiktspējas testēšanas rezultāti.
  Šajā nodaļā tiks apskatīti veiktspējas testēšanas rezultati, kuri attiecas tikai uz Cisco
maršrutetāju modeļiem, lai salīdzinātu un novērtētu savā starpā dažadus modeļus.
8.1. Testa apraksts.
  Sistēmas testēšanai tika pielietots “Powerbits packet generator”, kurš radīja iespēju
ģenerēt pakešu plūsmu starp divam Cisco sistēmām [4]. Plūsmas intensitāte var būt
dažāda, atkarība no maršrutētāja caurlaidspējas.
  Sistēmu veiktspēja ir atkarīga no pakešu garuma, tādēļ eksperimenta laikā tika
mainīts pakešu garums un pie katra pakešu garuma tika fiksēta sistēmu caurlaidspēja.
   Tika izmantoti sekojoši pakešu garumi: 64 baiti, 128 baiti, 256 baiti, 512 baiti, 768
baiti, 1024 baiti, 1280 baiti un 1518 baiti.
  Sistēmas var strādāt gan bez drošības līdzekļiem – “baseline”, gan ar drošības
līdzekļiem, izmantojot dažādas variācijas drošības protokolus.
  Testēšanas laikā tika izmantotas sekojošas protokola variācijas:
 “baseline”- bez drošības protokola izmantošanas;
 CET (Cisco Encryption Technologies) t.i., Cisco drošības protokols;
 IPSec AH – izmantots RFC 1828, AH-SHA-HMAC un AH-MD5-HMAC;
 IPSec – izmantots tikai ESP (Eucapsulating security payload), RFC 1829, DES un
   3DES;
 IPSec kopā ar AH un ESP protokoliem, izmantojot ESP-MD5-HMAC, DES ar
   AH-SHA-HMAC un DES ar AH-MD5 –HMAC.
8.2. Testēšanas rezultāti.
  Testēšanas rezultāti atainoti sekojošajos zīmējumos (zīm.8. – zīm.12.). Sistēmu
veiktspēja zīmējumos tiek uzrādīta attiecīgos skaitļos. Absolūtie skaitļi megabitos
sekundē ir redzami tabulā 3. Ir jaatzīme, ka testēšanas laikā maršrutētāju procesori
tika dažādi noslogoti atkarībā no trafika intensitātes. Cisco noteikumi paredz, ka
                                                                                   31

procesoru noslodze nevar būt lielāka par 70% un tabulā uzrādītie skaitļi atbilst šim
nosacījumam.
  Zīmējumā 5 tiek atspoguļota Cisco 2514 Router veiktspēja. No grafikiem var
secināt, ka drošības protokolu ieviešana uzreiz reāli samazina sistēmas veiktspēju
gandrīz 10 reizes un faktiski veikstspēja nav atkarīga no izmantojamā protokola.
  Pretējā polā ir Cisco 7505 Router sistēmas veiktspējas testēšanas rezultāti un šeit
mēs redzam, ka drošības protokoli ne tik daudz iespaido sistēmas ātrdarbību, kā tas
parādījās altenatīvajā variantā. Tas ir ļoti nozīmīgs un svarīgs fakts.
  Pārējos zīmējumos atspoguļota citu maršrutētāju uzvedība atkarībā no pakešu
garuma un protokolu kombinācijām.




                   Zīm.8.Apkopotie testēšanas rezultāti
                                          32




Zīm.9. 3640 maršrutētāja veiktspēja




   Zīm.10. 4700 maršrutētāja veiktspēja
                                         33




  Zīm.11. 7206 maršrutētāja veiktspēja




Zīm.12. 7505 maršrutētāja veiktspēja
                                                                                    34




                                                                            Tabula 3.




                                Maršrutētāju veiktspēja
  Pēdējais Cisco tests bija saistīts ar Cisco 1600 Router izmantošanu, pārraidot 8.92
Mbaitu failu no servera uz darba staciju FTP protokola vidē. Starp maršrutētajiem tika
uzstādīta ISDN līnija. Testa rezultati ir apkopoti tabulā 4.


                                                                      Tabula 4.




                                  Cisco 1600 router tests
                                                                                 35

  No tabulas skaitļiem redzams, ka Cisco protokols CET, salīdzinājumā ar IPSec,
nodrošina ātrāku failu pārraidi no servera uz staciju, kaut gan starpība nesastāda
vairāk kā 2%, tomēr procesora slodze krasi atšķirās. Procesora slodze IPSec vidē ir
gabdrīz 2 reizes mazāka salīdzinājumā ar IET protokolu un tas ir svarigs fakts
drošības tīkla izveidošanā.
                                                                                                                 36

                Atsauces
             [1] I.Allard, S.Nygren. IPSec.               http://www.networkingmagazine.com./article/DCM   20000509
                 S0082/1, 1999.
             [2] D.Newman, D.Olewnic. IPSec VPNS: How Safe ? How Speedy ?
             http://www.commweb.com/article/COM      200009/290009.
             [3] Internet Scaner 6.0.1 http://xforce.iss.net.
             [4] Cisco Guide. Chapter2. Desing Consideration. “Cisco Systems” tehniskā
                 dokumentācija.




Pielikums:                                                                        Tabula 1.
                                                                Table 1: Selected Vendors of VPN Gateways
                                     Product/
                                     software                            Data     Encryption
                                      version        Form               compre    algorithms    Integrated External CAs PPT
                 Vendor                tested        factor  Interfaces ssion     supported         CA      supported    su
   Alcatel Carrier Internetworking     Alcatel    Appliance 10- and       Yes  Blowfish, CAST,      No      Entrust PKI,  N
                Division            Secure VPN               100-Mbit/s        DES, triple DES,              Baltimore
             Kanata, Ontario       Solution/versi             Ethernet                RC5                     Unicert,
             (613) 591-3600            on 3.0                                                                Verisign,
    http://www.cid.alcatel.com/vpn                                                                          Cybertrust,
                                                                                                            Thawte, any
                                                                                                               X.509-
                                                                                                            compatible
     AXENT Technologies Inc.       PowerVPN/ve Software ATM OC-3,         Yes DES, triple DES,      No      Entrust/PKI, Ye
              Rockville, Md.         rsion 6.5        only     10- and              SwIPe                     Verisign
              301-258-5043                        (tested on 100-Mbit/s
       http://www.axent.com/vpn                      1-CPU    Ethernet,
                                                   500-MHz FDDI, token
                                                   PCs with      ring
                                                      128
                                                    Mbytes
                                                      RAM
                                                    running
                                                   Windows
                                                      NT)
        Check Point Software           VPN-1       Software ATM T3,       No   DES, triple DES,     No      Entrust PKI,  N
           Technologies Inc.       Gateway/vers       only   OC-3, and           IDEA/CAST,                  Baltimore
          Redwood City, Calif.        ion 4.1,    (tested on OC-12, 10-              FWZ1                     Unicert,
                                                                                                                    37

            650-628-2000          service pack 2-CPU            and 100-            (proprietary)                Verisign,
http://www.checkpoint.com/produc        1      450-MHz           Mbit/s                                         Cybertrust,
         ts/vpn1/index.html                       Ultra        Ethernet,                                        Thawte, any
                                              Sparc 60s       FDDI, token                                         X.509-
                                               with 512        ring, V.35                                       compatible
                                                Mbytes
                                                  RAM
                                                running
                                                Solaris
                                                  2.7)
        Cisco Systems Inc.         Cisco 7100    Router    ATM E3,          Yes   DES, triple DES      No       Entrust PKI,    Ye
           San Jose, Calif.           VPN         with     ATM T3,                                                Baltimore
            408-526-7208           Router/IOS hardware   ATM OC-3,                                                 Unicert,
http://www.cisco.com/warp/public/    version  accelerato   BRI, 10-                                             Verisign, any
            cc/pd/rt/7100/         12.1(2)E1     r card    and 100-                                                X.509-
                                                            Mbit/s                                               compatible
                                                           Ethernet,
                                                         HSSI, token
                                                          ring, V.35
           Intel Corp.                  Intel   Appliance 10- and           Yes   DES, triple DES      Yes      Entrust PKI     No
        Santa Clara, Calif.        NetStructure           100-Mbit/s
          408-765-8080               3130 VPN              Ethernet,
  http://www.intel.com/network     Gateway/Ver            V.35, X.21
                                     sion 6.80
                                      beta 10
       Information Resource        SafeNet/Spee Appliance 10- and           No    DES, triple DES     Yes, in      None         Ye
          Engineering Inc.               d-               100-Mbit/s                                 manager
              Baltimore             SFE/version            Ethernet
            410 931 7500                 4.0
http://www.ire.com/Products/VPN/
             speed.htm

     Lucent Technologies           VPN Firewall Appliance 10- and           Yes   DES, triple DES,     No       Entrust PKI,    N
         Murray Hill, N.J.         Brick 80 and           100-Mbit/s                   RC4                       Verisign
          314-317-6717                Lucent               Ethernet
 http://www.lucent.com/security      Security
                                   Management
                                      Server
                                   (LSMS)/versi
                                      on 5.0


  NetScreen Technologies Inc.       NetScreen-      Appliance; 10- and      No    DES, triple DES      No       Entrust PKI,    N
          Santa Clara, Calif.      100/ScreenO       includes 100-Mbit/s                                         Verisign
            408-330-7800              S version     integrated Ethernet
     http://www.netscreen.com/           2.01         firewall
            Radguard Inc.          cIPro-System     Appliance 10- and       No    DES, triple DES,     Yes      Entrust PKI,    N
            Bedford, Mass.          (cIPro-Mng,                100-Mbit/s          128-bit triple                Baltimore
            781-271-1414              cIPro-CA,                 Ethernet               DES                        Unicert,
http://www.radguard.com/cIPro200    cIPro-2600,                                                                  Verisign,
             0-3000.html                cIPro-                                                                  Cybertrust,
                                   Client)/hardw                                                                Thawte, any
                                     are version                                                                  X.509-
                                     4.43, client                                                               compatible
                                    version 2.34

         Sonicwall Inc.            SonicWALL Appliance 10- and              No    DES, triple DES,     No          None         Ye
        Sunnyvale, Calif.            PRO-              100-Mbit/s                     ARC4
                                                                                                                   38

          408-745-9600             VX/version 5                Ethernet
   http://www.sonicwall.com/




   VPNet Technologies Inc.             VSU-       Appliance 10- and         Yes   DES, triple DES,    No       Entrust PKI,      N
         Milpitas, Calif.          1000/VPNos/              100-Mbit/s                 RC4                      Baltimore
         408-404-1400               version 3.0;             Ethernet                                            Unicert,
    http://www.vpnet.com/          VPNmanager                                                                   Verisign,
                                     Enterprise                                                                Cybertrust,
                                   Edition/versio                                                              Thawte, any
                                        n 3.0                                                                    X.509-
                                                                                                               compatible

WatchGuard Technologies Inc.          WatchGuard Appliance 10- and          No    DES, triple DES     No          None          Ye
             Seattle                  LiveSecurity             100-Mbit/s
          206-521-8340                System with               Ethernet
http://www.watchguard.com/produ         Firebox II
          cts/wgls.html              FastVPN/vers
                                         ion 4.1
     1. Price for device equpped with 2 100Base-T interfaces and all
                             necessary software
           2. Device is software only; host machine not included
  3. Includes VPN Firewall Brick 80; LSMS Small Enterprise Edition to
     manage 5 appliances; IPSec client software and license for 100
                            simultaneous tunnels
                      BRI = ISDN basic-rate interface                                                     HSSI = High-speed seria
                          CA = certficate authority                                                  IDEA = International Data Encr
  CAST = Carlisle Adams and Stafford Tavares (authors of encryption                                       L2TP = Layer 2 tunnellin
                                 algorithm)
                   FDDI = Fiber distributed data interface                                              PPTP = Point-to-point tunne
             FIPS = Federal Information Processing Standard                                                    RC4 = Rivest Ciph
              HMAC = Hashed message authentication code                                                        RC5 = Rivest Ciph

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:3
posted:10/22/2012
language:Latin
pages:38